CRLite, новый механизм Mozilla для проверки сертификата TLS

Логотип Firefox

Недавно Mozilla объявила о запуске нового механизма обнаружения сертификатов отзыв называется «CRLite» и встречается в ночных версиях Firefox. Этот новый механизм позволяет организовать проверку действующий отзыв сертификата против базы данных, размещенной в системе пользователя.

Используемая проверка сертификата с использованием внешних сервисов на базе В протоколе OCSP (Протокол статуса онлайн-сертификата) требует гарантированного доступа к сети, что приводит к заметной задержке обработки запроса (в среднем 350 мс) и имеет проблемы с конфиденциальностью (серверы, отвечая на запросы, OCSP получает информацию о конкретных сертификатах, по которой можно судить, какие сайты открывает пользователь).

также есть возможность локальной проверки по CRL (Список отозванных сертификатов), но недостатком этого метода является большой размер загружаемых данных: В настоящее время база данных отзыва сертификатов занимает около 300 МБ и продолжает расти.

Firefox использует централизованный черный список OneCRL с 2015 года для блокировки сертификатов, которые были скомпрометированы и отозваны центрами сертификации, а также доступа к службе безопасного просмотра Google для определения возможной вредоносной активности.

OneCRL, как и наборы CRL в Chrome, действует как промежуточное звено, которое объединяет списки CRL центров сертификации и предоставляет единую централизованную службу OCSP для проверки отозванных сертификатов, что позволяет не отправлять запросы напрямую в центры сертификации.

По умолчанию, если невозможно проверить через OCSP, браузер считает сертификат действительным. Таким образом если услуга недоступна из-за проблем с сетью и внутренние сетевые ограничения или что он может быть заблокирован злоумышленниками во время атаки MITM. Чтобы избежать таких атак, реализована техника Must-Staple, что позволяет интерпретировать ошибку доступа OCSP или недоступность OCSP как проблему с сертификатом, но эта функция не является обязательной и требует специальной регистрации сертификата.

О CRLite

CRLite позволяет вывести полную информацию обо всех отозванных сертификатах в легко возобновляемой структуре всего 1 МБ, что позволяет хранить всю базу данных CRL на стороне клиента. Браузер сможет ежедневно синхронизировать свою копию данных в отозванных сертификатах, и эта база данных будет доступна при любых условиях.

CRLite объединяет информацию из прозрачности сертификата, общедоступная запись всех выданных и отозванных сертификатов и результатов сканирования сертификатов в Интернете (собираются различные списки CRL центров сертификации и добавляется информация обо всех известных сертификатах).

Данные упаковываются с использованием фильтров Блума, вероятностная структура, которая допускает ложное определение отсутствующего элемента, но исключает пропуск существующего элемента (то есть с некоторой вероятностью возможны ложные срабатывания для действительного сертификата, но гарантированно обнаружение отозванных сертификатов).

Чтобы исключить ложные срабатывания, CRLite ввела дополнительные корректирующие уровни фильтров. После постройки конструкции перечисляются все исходные записи и выявляются ложные срабатывания.

По результатам этой проверки создается дополнительная структура, которая каскадно накладывается на первую и исправляет любые возникшие ложные срабатывания. Операция повторяется до полного исключения ложных срабатываний при проверке.

Как правилоДля полного покрытия всех данных достаточно создания 7-10 слоев. Поскольку состояние базы данных из-за периодической синхронизации немного отстает от текущего состояния CRL, проверка новых сертификатов, выпущенных после последнего обновления базы данных CRLite, осуществляется с использованием протокола OCSP, включая использование техники сшивания OCSP. .

Реализация CRLite в Mozilla выпущена под бесплатной лицензией MPL 2.0. Код для создания базы данных и серверные компоненты написаны на Python и Go. Клиентские части, добавленные в Firefox для чтения данных из базы данных, подготовлены на языке Rust.

источник: https://blog.mozilla.org/


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.